WailingCrab Kötü Amaçlı Yazılım

Infosec araştırmacıları, teslimat ve nakliye temalı e-postaların, WailingCrab adı verilen gelişmiş bir kötü amaçlı yazılım yükleyicisini dağıtmak için bir araç olarak kullanıldığı konusunda uyarıyor. Bu kötü amaçlı yazılım, yükleyici, enjektör, indirici ve arka kapı dahil olmak üzere çeşitli bileşenlerden oluşur. Kötü amaçlı yazılımın sonraki aşamasını getirmek için genellikle Komuta ve Kontrol (C2, C&C) sunucularıyla başarılı iletişim gereklidir.

Tehdit Aktörleri Aktif Olarak WailingCrab Kötü Amaçlı Yazılımını Geliştiriyor

Araştırmacılar, WailingCrab'i ilk olarak Ağustos 2023'te İtalyan kuruluşlara yönelik saldırı kampanyalarına karıştığını ortaya çıkardıktan sonra tespit etti. Bu kötü amaçlı yazılım, Ursnif Truva Atı'nın (Gozi olarak da bilinir) dağıtımı için bir kanal görevi gördü. WailingCrab'in arkasındaki beyin, Bambu Örümceği ve Zeus Panda olarak da bilinen tehdit aktörü TA544'tür.

Operatörleri tarafından sürekli olarak bakımı yapılan kötü amaçlı yazılım, gizlilik için tasarlanmış özellikler sergileyerek analiz çabalarını daha iyi engellemesine olanak tanıyor. Kötü amaçlı yazılım, gizli yapısını güçlendirmek için meşru ancak güvenliği ihlal edilmiş web siteleri aracılığıyla C2 iletişimlerini başlatır.

Ayrıca, kötü amaçlı yazılımın bileşenleri Discord gibi yaygın olarak kullanılan platformlarda depolanıyor. Kötü amaçlı yazılımın davranışında 2023 ortasından bu yana yapılan önemli bir değişiklik, C2 iletişimi için küçük sensörler ve mobil cihazlara yönelik hafif bir mesajlaşma protokolü olan MQTT'nin benimsenmesini içeriyor. Bu protokol, tehdit ortamında nispeten nadirdir ve daha önce Tizi ve MQsTTang gibi vakalarda gözlemlendiği gibi yalnızca birkaç örnekte kullanılmıştır.

WailingCrab Kötü Amaçlı Yazılımının Dağıtımına Yönelik Saldırı Zinciri

Saldırı dizisi, URL'leri barındıran PDF eklerini içeren e-postalarla başlıyor. Bu URL'lere tıklamak, Discord'da barındırılan WailingCrab yükleyiciyi getirip yürütmek için tasarlanmış bir JavaScript dosyasının indirilmesini tetikler.

Yükleyicinin rolü, enjektör modülü görevi gören bir kabuk kodunu başlatarak sonraki aşamayı başlatmaktır. Bu da nihai arka kapıyı dağıtmaktan sorumlu indiricinin yürütülmesini tetikler. Daha önceki sürümlerde bu bileşen, Discord CDN'sinde bir ek olarak barındırılan arka kapıyı doğrudan indiriyordu.

WailingCrab'ın en yeni sürümü, arka kapı bileşenini AES ile şifreler. Arka kapıyı indirmek yerine, arka kapının şifresini çözmek için bir şifre çözme anahtarı almak üzere C2 sunucusuna ulaşır. Kötü amaçlı yazılımın çekirdeği gibi davranan arka kapı, virüslü ana bilgisayarda kalıcılık sağlar ve ek yükler almak için MQTT protokolü aracılığıyla C2 sunucusuyla iletişim kurar.

Dahası, arka kapının en yeni çeşitleri Discord tabanlı indirme yolunu terk ederek doğrudan C2'den MQTT'ye kadar kabuk kodu tabanlı bir veri yüküne yöneliyor. WailingCrab tarafından MQTT protokolünün kullanılmasına yönelik bu değişiklik, gizliliğin artırılması ve tespitten kaçınmaya kasıtlı olarak odaklanıldığı anlamına gelir. WailingCrab'in daha yeni sürümleri, yük alma konusunda Discord'a olan bağımlılığı da ortadan kaldırarak gizlilik yeteneklerini daha da artırıyor.